資安長進董事會：(1)資安長與資訊安全經理人如何做好準備進入董事會；(2)網路資訊安全專家已成為董事會席位的目標-2024/01/27

(1)資安長與資訊安全經理人如何做好準備進入董事會

資安長過去是屬戰術性的角色—面對網路威脅就好，但是今天，這個職位是與策略規劃有關的，如此整個組織才能一起預防威脅。

2023年6月，IANS Research, Artico Search 與 The CAP Group 共同發佈了一份報告，其評估的是Russell 1000 Index 的資安長素質，並列出了幾項可靠候選人的關鍵特質。

研究結果是，Russell 1000的資安長只有14％(七分之一)具備進入董事會所需的資格。值得一提的是，該報告提出的時間，是美國證管會要將網路專業和透明新規範定案之際。

證管會呼籲資安長進入董事會的原因之一，就是可讓資安長帶來特殊的經驗，拓展董事會對營運的討論。而且研究也清楚指出，最好的候選人就是能帶來其他技能的人。

The CAP Group的執行長與網路委員會顧問Brian Walker說，光有科技與網路安全專業，是不足以成為董事的。董事負責的是策略層級，而且在大多數董事會裡，光會那一兩招是不行的，因為對每個複雜的專業領域都增加一位董事，是不可行的。

一位資安長要進入董事會應具備幾項關鍵特質，包括：infosec tenure、跨部門專業、擴展能力以及進階教育。infosec tenure是指有擔任資安長5年、資訊社會經驗10年以上的「深度專業」。此知識可協助提出正確問題，並挑戰根深蒂固的假設。

更廣泛的企業經驗是額外要求。擔任過非網路部門角色的資安長，比如公司創辦人、或策略顧問，都是擔任董事很需要的特質，因為他們的技能很廣泛。

為了擔任董事成功，資安長還需要進階教育(advanced education)，因為此要素會「強化董事會對外部利害關係人的可信度」，並展現批判性思考和分析能力—這絕對可幫助到董事會的每個成員。

資料來源：https://www.scmagazine.com/analysis/compliance/how-cisos-and-cybersecurity-execs-can-get-board-ready

 

(2)網路資訊安全專家已成為董事會席位的目標

Enterprise Management Associates (EMA)研究總監Chris Steffen說，董事會要處理安全事故最容易、最有效的方式之一，就是晉升資安長到董事會有責及有權的位置上。

IANS Research的研究總監Nick Kakolowski說，資安長需要擴大自己的經驗，因為董事會想找具網路資訊職位上，擁有豐富經驗的人，而不一定是安全專家。

最近由IANS Research和Artico Search 與The CAP Grou合作執行了一份報告，內容是關於「資安長加入董事會是否就緒」的報告中顯示，發現不到一半的資安長被視為合適的董事候選人。

根據該份研究，90％的公開發行公司甚至缺乏一位合格的網路資訊專家，這顯示出董事會對於網路資訊安全方面的供需，有著明顯的落差。僅15％的資安長具備董事會職位所需的更廣泛特質，比如對企業有全盤瞭解、全球觀點，以及應對廣泛的利害關係人的能力，而33％的資安長則具備了其中一部份的能力。

研究者建議，若資安長想要在董事會擔任網路資訊專家，可以關注以下三個領域。

第一個就是建立軟技能。董事會是一個由高度才華洋溢與成功人士，組成的密切合作的團隊，他們的談話通常很細緻，所以需要有高度情商來應對。

第二，資安長應該要尋求多元的企業經驗，擴大對各式營運模式及公司策略的知識。

最後，打造品牌很重要，能夠講述一個引人注目的職業故事，並展現出獨特的管理專業，可以創造出一種特殊的優勢，這會協助一個人從其他表顯優異的安全專家中脫穎而出。

Steffen表示，良好的溝通技巧很重要。他說：「能向外行人解釋複雜的安全相關主題很困難，但是這對服務於董事會而言是關鍵技能。其他董事會成員可能不是科技出身，而資安長需要能解釋安全相關主題，如此他們才能瞭解到重要性。」

RegScale的資安長Larry Whiteside說：「對資安長而言，以清楚而簡潔的方式直接向不同的人們溝通非常重要。許多資安長通常是以技術專家的身份成長的，他們習慣使用非常技術性的語言...在董事會上，以董事可以明白的語言用詞溝通，使對方可以瞭解想表達的內容，這是非常重要的。」另外，有良好的經營洞察力，對資安長在董事會上發揮作用也很重要。這不僅包括對於企業的知識，也包括瞭解企業是如何營運以獲得收益。

資安長也需要瞭解風險，才能向董事會報告。Whiteside說：「對風險的瞭解必須跳出單純的科技面。在遵循與規範方面有許多問題會一直在演變，而資安長必須瞭解這些規定給公司帶來的風險。」此外，資安長必須瞭解企業風險。Whiteside說：「包括受託風險、營運風險與科技風險，並且，不論公司是根據哪一種特殊的風險情境，所選擇出其最重要的資產，都必須整理考量風險對公司利潤、文化或人員的影響。」

Steffen表示，資安長需要瞭解他們的角色以及在董事會的定位，並記住他們在組織內負責的所有領域。「他們的責任範圍很可能不限於資訊安全領域—例如遵循就是其中之一。因此他們需要瞭解，如何最佳地做出貢獻，同時不逾越他們的界線。」

最後，資安長應該在各個領域擁有良好的專業人脈。Steffen說：「大多數安全專家知道，若缺了第三方、供應商或同業間可指引正確方向的非正式關係，那就難以達到成熟的組織安全。」

資料來源：https://www.cnbc.com/2023/07/03/cybersecurity-experts-have-become-targets-for-board-seats.html